Настройки RhodeCode для авотризации в AD

Долго мучался с вводом корректных настроек в RhodeCode для того, чтобы пользователи могли входить в интерфейс под своей доменной учётной записью.
Что имеется:
RhodeCode 1.2.4
Контроллер домена на Windows Server 2008 R2
Установленный python-ldap (easy_install python-ldap)

Запускаем http сервер RhodeCode: paster serve production.ini

Заходим в веб-интерфейс из браузера http://127.0.0.1:5000
Логинимся под учётной записью администратора, переходим в пункт меню Admin -> ldap

Вот с какими значениями полей у меня заработал вход доменных пользователей:
Connection settings
Enable LDAP — поставить галочку
Host — SERVER.DOMAIN.RU
Port — 389
Account — user@DOMAIN — пользователь AD имеющий доступ к каталогу
Password — пароль пользователя user@DOMAIN
Connection security — No encryption
Certificate Checks — NEVER
Search settings
Base DN — DC=domain,DC=ru
LDAP Filter — (objectCategory=User)
LDAP Search Scope — SUBTREE
Attribute mappings
Login Attribute — sAMAccountName
First Name Attribute — givenName
Last Name Attribute — sn
E-mail Attribute — mail

На самом деле практически всё это было описано в документации http://packages.python.org/RhodeCode/setup.html, но после того как я указал приведённые там параметры у себя уже на развёрнутом RhodeCode, то доменные юзеры логиниться не хотели, в следствии чего в production.ini я установил в секциях [logger_*] параметр level = DEBUG и детально изучил вывод сервера, где было указано что то вроде «такой объект не найден» от ldap компонента. В итоге начал подбирать параметр LDAP Filter (базовое значение (&(objectClass=user)(!(objectClass=computer))) работать не хотело). Всё заработало при LDAP Filter равном (objectCategory=User)

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *